安服水洞系列，从零基础到精通，收藏这篇就够了！

本文链接：https://blog.csdn.net/Javachichi/article/details/146134182

前言

CSRF，有的很鸡肋，有的很牛。鸡肋的xxx，有的的大佬能靠CSRF杀穿内网。有的大佬能够靠CSRF完成RCE，比如之前爆出来的phpstudy的洞。

在众测中，很多厂家都标出不收CSRF或者说不收轻微危害的CSRF。

什么是CSRF？

CSRF（Cross-Site Request Forgery），其目的是利用受害者在已经登录过某个网站的情况下，通过该网站的权限来执行恶意操作。

攻击者利用CSRF漏洞，通过在受害者的浏览器中执行一些恶意代码，欺骗用户发送一个看似正常的请求给目标网站，而这个请求其实是攻击者所构造的，目的是让目标网站执行一些恶意操作，比如更改用户账号的密码、删除数据等等。

最简单的验证方式

burpsuite生成CSRF

知识点

自 2021 年起，如果发布 Cookie 的网站未明确设置自己的限制级别，Chrome浏览器会默认应用SameSite=Lax。例如:

 Set-Cookie: session=0F8tgdOhi9ynR1M9wa3ODa; SameSite=Lax

设置了Lax，意味着限制了浏览器将在跨站点请求中发送 cookie，不过Lax代表的是宽松的限制策略，不会限制跨站点GET方法，会限制跨站点的POST方法。

所以，如果要检测CSRF可以尝试用多个浏览器，先用get请求，然后再测试post请求。

JSON形式的CSRF

XHR CSRF POC

 <html\>  
   <body\>  
     <script\>  
       function submitRequest()  
       {  
         var xhr \= new XMLHttpRequest();  
         xhr.open("POST", "https://www.xxxxx.com/simauth/app/updateAppInfo", true);  
         xhr.setRequestHeader("Accept", "\*/\*");  
         xhr.setRequestHeader("Accept-Language", "zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3");  
         xhr.setRequestHeader("Content-Type", "application/json; charset=utf-8");  
         xhr.withCredentials \= true;  
         xhr.send(JSON.stringify({"appId":"300016001555","appName":"0xdawn"});  
     }  
     </script\>  
     <form action\="#"\>  
       <input type\="button" value\="Submit request" onclick\="submitRequest();"/>  
     </form\>  
   </body\>  
 </html\>

CSRF利用

寻找思路

当我们在找可以构建csrf的时候，多找找可以提交上传图片的，部分是可以自由构建url。

漏洞挖掘

检查正常请求的数据包是是否存在token、referer，如果没有那么很可能存在CSRF漏洞
如果有Referer字段，那么去掉Referer重新提交数据包。如果该数据包依然有限，那么很可能存在CSRF。
使用CSRF工具

工具

CSRFTester，CSRF Request Builder

https://github.com/0xInfection/XSRFProbe

github上星很多，但我没用过。

防御CSRF

使用一次性token。在开发过程中我们可以在HTTP请求中以参数的形式加入一个随机产生的token，并在服务端进行token校验，如果请求中没有token或者token内容不正确，则认为是CSRF攻击而拒绝该请求。
使用验证码。使用验证码是阻断CSRF攻击的有效手段，在用户进行相应操作时输入验证码。
检查Referer。一般情况下，用户提交站内请求，Referer中的来源应该是站内地址。如果发现Referer中的地址异常，就有可能遭到了CSRF攻击。
使用同源策略等等。